Kişişel bilgilerin mahremiyeti dünyada birçok yerde olduğu gibi ne yazıkki Türkiye’de de pek dikkat edilmeyen ve de kolayca zaafiyete uğratılan bir konudur. Toplum genelinde mahremiyet bilinci oluşmadığından devlet kurumları olsun özel kurumlar ya da kişiler olsun ellerinde var olan kişişel bilgilerin mahremiyetini gözardı edip erişimin herkese açık olduğu İnternet ortamında bu bilgileri paylaşabiliyorlar.
Bunun en bariz örneğini KEY ödemelerinin yapıldığı dönemde yaşamıştık. Bir çok gazetede KEY alacaklılarının T.C. kimlik numarası ve Ad-Soyad bilgisi yayınlandı. Oysa T.C. kimlik numarasının kişisel bilgi olması sebebi ile mahremiyetinin sağlanması gerektiği es geçildi. KEY olayı sadece bir örnektir. Arama motorlarında biraz zaman harcayarak birçok web sitesinde T.C. kimlik numaralarına ulaşmak hala mümkündür.
Bu blogda ülkemizde karşılaştığımız mahremiyet ihlallerinden zaman zaman bahsetmek istiyorum. İspark ile başlayalım. İspark online park borcu sorgulama hizmeti sunmaktadır. Bu hizmet sayesinde plaka ve CAPTCHA güvenlik kodunu girerek istediğiniz araca ait park borçlarını öğrenebiliyorsunuz. Sadece kendimizin bilmesi gereken özel bir bilgi herkes tarafından erişilebilir durumdadır ve bu açık bir mahremiyet ihlalidir.
İspark örneğinin diğer bir düşündürücü yanıda CAPTCHA kontrolünün gerektiği gibi yapılmamış olmasıdır. Bu açığı kullanarak bu sorgulama sistemine kayıtlı bütün araçların borçlarını listeleyen bir program yazmak mümkündür. CAPTCHA kontrolü, insan ile bilgisayar programlarını birbirinden ayırt etmek için kullanılır. Dolayısı ile CAPTCHA’nın içindeki güvenlik kodunun otomatik programlar tarafından tanınamaması esastır. İspark, CAPTCHA kodunu direk kaynak koda parametre olarak koyarak bu gereksinimi görmezden gelmiş. Aşağıdaki ekran görüntülerinden bu sorun açıkça gözülmektedir.
Almanya’da bu tür bilgilere erişim ancak son kullanıcı ile güvenli bir yol üzerinden gizli parola değişimi gerçekleşti ise İnternet üzerinden gerçekleştirilmektedir. Aksi takdirde bilgi verme işlemi posta yolu ile gerçekleşmektedir. Posta sistemi de Türkiye’deki ile karşılaştırıldığında oldukça güvenlidir. Posta dağıtıcısı şayet ilgili mektubun üzerindeki alıcı ismi posta kutusunda yazmıyor ise postayı oraya bırakmaz. Mektuplar hiçbir zaman uluorta bırakılmaz, her zaman kilitli posta kutusuna atılır.
Benzer bir mahremiyet ihlalini, TMSF “Zamanaşımı Hesapları Önbildirim Sorgulama” servisi aracılığı ile yapmış ve de birçok kimsenin bankalarda unuttukları para bilgilerine erişime izin vermişti.
Başta da belirttiğim gibi mahremiyet ihlalleri sorunu toplumun bu konuda hassasiyet kazanması sayesinde gelişebilecek bir konudur. Umarım bu konuda toplum bilincimiz de zamanla gelişir.
Almanya'da bankaların e-subelerinde (internet bankacılığı uygulamalarında) e-fatura (elektirk,su, telefon vb.) ödenebiliyordur diye tahmin ediyorum. Borç sorgulamasını yaparken hangi bilgiler isteniyor?
Almanya'da telefon haricinde hiçbir şey için aylık fatura gelmiyor. Sizin hesabınızdan elektrik için aylık sabit bir rakam ilgili kuruma havale ediliyor. Sene sonu bu kurum ne kadar elektrıik kullandığınıza bakıyor, eğer fazla ödeme yapmış iseniz para geri alıyorsunuz, eksik ödeme yapmış iseniz ilgili meblağı havale ediyorsunuz. Doğalgaz ve Su için de sabit bir rakamı ev sahibine veriyorsunuz, ev sahibi ilgili kurumla sene sonunda hesaplaşıyor ve size ödememi yapacaksınız gerimi alacaksınız söylüyor. Telefon için ise aylık fatura geliyor, genelde çoğu kimse email yoluyla alıyor e-faturayı ve de gene bu miktar telefon kurumuna banka yoluyla havale edliyor. Banka bu durumda hiçbir şeklilde fatura sistemleri hakkında bilgi sahibi değil, sadece para transferi yapıyor.
Sorduğum soruya en son 2 cümlede cevap vermişsiniz.
Sorgulama servisi yoksa ve ben sadece kendi faturamı ödemiyorsam (annemin,kardeşimin,eşimin,çocuğumun vs.) nasıl işliyor sistem? Telefon sahibinden fatura borcunu öğrenip o kadar tutarı mı havale edeceğim?
Daha kötüsü telefon faturasını ödeme işlemini otomatize edemeyeceğim, çünkü ifadenizde "bankanın hiçbir şekilde fatura hakkında bilgisi yok" diyorsunuz, otomatik ödeme talimatı veremeyip her ay manuel müdahale yapmam gerekiyor?
Telefon faturanızın tutarı aylık hesabınızdan otomatik çekiliyor. Telefon firması ile kontrat yaparken firmaya banka hesabınızdan para çekme yetkisi veiyorsunuz, buna binaen ilgili firma parayı çekiyor. Dolayısı ile Türkiyedeki fatura sistemi tam olarak yok Almanya'da.
Almanya bu sistemi güvenlik zafiyeti oluşmasın diye yaptıysa gerçekten takdir etmek lazım. Türkiye'de sistem bu şekilde işlese nasıl olur diye düşündüm de, yani operatör tutarı çekebilse ciddi sorunlar oluşacağından şüphem yok. Çünkü 35 TL sabit ücret deyip 600+ TL fatura çıkaran operatörlerin olduğu bir ülkede bu sistem güvenliği sağlama değil ancak kelime oyunu yaparak imsanları kandıran tüccarlara ortam hazırlar. Para alıp hizmet vermeme konusnda açık ara lideriz malesef. İyi çalışmalar.
Merhaba hocam , bu tür veri ifşaları çok oluyor. Haber veriyorsun sistemin böyle verisi izlenebiliyor vs. ters tepkilere neden oluyor , kayda değer almıyorlar. Daha sonra başka bir grup(anonim) saldırıda bulunuyor , yok bizim sistemler güvenliydide bunlar yıldırıyor bizi vs. gibisinden konuşuyorlar demek istediğim bu tip durumlarda ne yapılır? Karışmazsak , Görmesek , Bildirmesek de olur ama bildirirken ne gibi yol izleyeceğimi şaşırdım inanın ki.